KR100474155B1 - 네트워크의 취약성 분석 시스템 및 방법 - Google Patents

네트워크의 취약성 분석 시스템 및 방법 Download PDF

Info

Publication number
KR100474155B1
KR100474155B1 KR10-2002-0026405A KR20020026405A KR100474155B1 KR 100474155 B1 KR100474155 B1 KR 100474155B1 KR 20020026405 A KR20020026405 A KR 20020026405A KR 100474155 B1 KR100474155 B1 KR 100474155B1
Authority
KR
South Korea
Prior art keywords
vulnerability
manager
agent
result
check
Prior art date
Application number
KR10-2002-0026405A
Other languages
English (en)
Other versions
KR20030088300A (ko
Inventor
윤영태
김기한
박현동
정윤정
윤주범
김형천
이남훈
이철원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2002-0026405A priority Critical patent/KR100474155B1/ko
Publication of KR20030088300A publication Critical patent/KR20030088300A/ko
Application granted granted Critical
Publication of KR100474155B1 publication Critical patent/KR100474155B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 지역적으로 분산된 네트워크 환경에서 취약성(Vulnerability)을 중앙 집중식으로 감사 및 분석할 수 있도록 한 취약성 분석 시스템 및 방법에 관한 것으로, 침입차단 시스템(Firewall)으로 보호된 네트워크에서도 내부망에 대한 취약성을 분석할 수 있다.
본 발명은 취약성 분석 대상 네트워크의 내부망에 대한 점검을 수행하는 에이전트와, 각 에이전트들로부터 결과를 제공받아 분석하고 DMZ(De-Militarized Zones)에 대한 취약성을 탐지하는 매니저, 그리고 매니저와 에이전트간의 통신을 위한 보안 프로토콜로 구성된다. 매니저는 에이전트가 보내온 각각의 정보를 분석하고 호스트별, 네트워크별 취약성 탐지결과에 대한 차등 분석을 수행하여 비교결과를 생성하는 기능을 가지며, 에이전트를 기반으로 하여 네트워크별로 취약성에 대한 정보를 전체적으로 관리하고, 매니저에 새로운 취약성을 탐지하기 위한 코드를 설치하면 자동으로 각 에이전트에 분배되므로 네트워크 전체에 대한 취약성 분석이 효율적으로 이루어질 수 있다.

Description

네트워크의 취약성 분석 시스템 및 방법 {System and method for analyzing vulnerability in distributed network environment}
본 발명은 네트워크의 취약성을 탐지 및 분석하기 위한 시스템에 관한 것으로, 더욱 상세하게는 내부망에서는 에이전트가 취약성을 탐지하고, DMZ(De-Militarized Zones)에서는 매니저가 취약성을 탐지하여 전체적인 네트워크의 취약성을 효율적으로 분석할 수 있도록 한 분산된 네트워크 환경에 적용되는 취약성 분석 시스템 및 방법에 관한 것이다.
컴퓨터 네트워크의 사용범위가 확대됨에 따라 네트워크를 통해 특정 시스템을 불법적으로 공격하는 행위가 증가하고 있다. 이러한 공격을 막기 위해서는 자신의 컴퓨터 시스템에 대한 취약성을 사전에 탐지하여 취약점을 보완해야 하는데, 이를 위해 취약성 탐지 및 분석 시스템이 사용된다.
취약성 분석 시스템은 조직 내의 중요 자산에 대한 취약점을 미리 검사하고, 이에 대한 대응책을 마련하는 데 사용되는 것으로, 시스템 관리자는 취약성 분석 시스템를 이용하여 자신의 시스템이 가지고 있는 취약성을 탐지하고, 취약점이 발견되면 이를 수정하여 공격에 대비하여야 한다. 이러한 취약성 분석 시스템은 침입차단 시스템 및 침입탐지 시스템과 더불어 정보보호 제품으로 많은 시장을 확보하고 있다.
그런데 기존의 취약성 분석 시스템은 지역적으로 분산된 환경에서 각각의 조직을 분석 및 평가하고, 그 결과를 보고하기 때문에 시간 및 공간적으로 효율적이지 못하며, 분산된 환경에서 발생되는 문제점 외에도 각 취약성 탐지 시스템마다 취약성 데이터베이스를 각각 유지 보수해야 하는 문제점도 가지고 있다. 그러므로 분산된 환경에서 중앙 집중식으로 취약성을 분석 및 평가할 수 있는 새로운 분석 시스템의 개발이 요구된다.
따라서 본 발명은 상기와 같은 문제를 해결하고자 안출된 것으로서 취약성 분석 에이전트와 취약성 분석 매니저로 구성되며, 분산된 환경에서 중앙 집중식으로 취약성을 탐지하고, 취약성 데이터베이스와 취약성 탐지코드를 관리하여 효율적으로 취약성을 분석할 수 있도록 한 취약성 분석 시스템 및 방법을 제공하는 데 그 목적이 있다.
상기한 목적을 달성하기 위한 본 발명의 네트워크의 취약성 분석 시스템은 분석 대상 네트워크의 내부망에 대한 취약성을 점검하는 에이전트, 상기 에이전트로부터 점검결과를 제공받아 분석하고 DMZ에 대한 취약성을 탐지하는 매니저, 상기 매니저와 에이전트 간의 통신을 위한 보안 프로토콜을 포함하는 것을 특징으로 한다.
상기 에이전트는 취약성 점검결과를 보관하는 점검결과 데이터베이스, 최신 검사목록을 보관하는 검사목록 데이터베이스, 상기 검사목록 데이터베이스를 참조하여 점검 엔진이 취약점을 조사하는 백 앤드 엔진, 업데이트 엔진이 점검 리스트를 업데이트시키고, 결과 전송 엔진이 검사결과를 상기 매니저에게 전송하는 프론트 앤드 엔진, 상기 매니저와의 통신을 위한 보안 프로토콜 인터페이스로 이루어지며, 상기 에이전트 운영에 관한 정보를 확인하는 에이전트 관리모듈을 더 포함하는 것을 특징으로 한다.
상기 매니저는 취약성 검사목록, 상세내용, 제거기술을 저장하는 취약성 데이터베이스, 분석된 취약성 결과 및 지난 세션과의 비교결과를 생성하여 저장하는 결과 리포트 감사 데이터베이스, 업데이트 요청에 대해 취약성 목록 업데이트 엔진이 상기 취약성 데이터베이스로부터 최신 목록을 받아 상기 에이전트로 전송하고, 결과 수신 엔진이 상기 에이전트로부터 점검결과를 받아들이는 프론트 앤드 엔진, 감사 및 분석 엔진이 상기 취약성 데이터베이스와 에이전트로부터 전달된 점검결과에 상세정보를 추가하여 상기 결과 리포트 감사 데이터베이스에 저장하는 백 앤드 엔진, 외부 네트워크를 점검하기 위한 외부 네트워크 진단 엔진, 상기 에이전트와의 통신을 위한 보안 프로토콜 인터페이스로 이루어지며, 상기 매니저는 설정정보를 관리하는 매니저 관리모듈을 더 포함하는 것을 특징으로 한다.
또한, 상기한 목적을 달성하기 위한 본 발명의 네트워크 취약성 분석 방법은 에이전트의 관리자가 내부망에 대한 취약성 진단을 요청하는 단계, 상기 에이전트와 매니저 간의 통신을 위해 보안채널을 형성하는 단계, 상기 에이전트가 취약성 진단 스크립트를 갱신하기 위해 상기 보안채널을 통해 상기 매니저에게 진단 스크립트의 업데이트를 요청하는 단계, 상기 업데이트 요청에 대해 새로운 스크립트가 있는 경우 상기 매니저가 새로운 스크립트를 상기 에이전트로 전달하는 단계, 상기 에이전트가 스크립트 갱신을 완료하고 지정된 네트워크에 대해 취약성을 진단한 후 진단결과를 메타파일로 저장하는 단계, 상기 에이전트의 관리자가 메타파일 뷰어를 통해 상기 진단결과를 확인하는 단계, 상기 에이전트가 진단결과를 상기 매니저에게 전달하는 단계, 상기 매니저가 취약성 데이터베이스를 참조하여 상기 진단결과를 분석한 후 분석결과를 데이터베이스에 저장하는 단계, 상기 에이전트의 관리자가 상기 매니저의 웹서버를 통해 상기 데이터베이스에 저장된 분석결과를 조회하는 단계를 포함하는 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 다른 네트워크의 취약성 분석 방법은 점검대상 네트워크의 관리자가 매니저에게 신원을 확인받는 단계, 상기 매니저가 외부 진단 웹에 사용자를 등록하는 단계, 상기 네트워크의 관리자가 웹 인터페이스를 통해 점검대상 호스트를 등록하고 점검을 요청하는 단계, 상기 매니저가 외부 네트워크 진단 엔진으로 대상 네트워크를 지정하는 단계, 상기 외부 네트워크 진단 엔진이 네트워크 취약성 점검 스크립트를 통해 상기 대상 네트워크를 진단한 후 진단결과를 분석하고 그 결과를 데이터베이스에 저장하는 단계, 상기 대상 네트워크의 관리자가 점검결과 조회메뉴를 통해 상기 데이터베이스에 저장된 진단결과를 확인하는 단계를 포함하는 것을 특징으로 한다.
분산된 네트워크 환경에서 취약성을 분석 및 평가하기 위한 본 발명의 취약성 분석 시스템은 도 1에 도시된 바와 같이 크게 취약성 분석 대상 네트워크(100)의 내부망에 대한 점검을 수행하는 취약성 분석 에이전트(11)와, 각 에이전트(11)들로부터 결과를 제공받아 분석하고 침입차단 시스템(Firewall)(12) 및 DMZ(De-Militarized Zones)(13)에 대한 취약성을 탐지하는 취약성 분석 매니저(200), 그리고 에이전트(11)와 매니저(200) 간의 통신을 위한 보안 프로토콜(300)로 구성된다.
취약성 분석 에이전트(11)는 매니저(200)로부터 최신 취약성 목록을 가져와, 에이전트(11)가 속한 서브넷 예를들어, 사설 네트워크(14)에서의 지정된 호스트에 대해 네트워크 기반의 취약성을 점검하고, 매니저(200)는 에이전트(11)로부터 네트워크를 통해 점검결과를 전달받고 분석하여 결과를 리포팅한다.
취약성 분석 에이전트(11)는 도 2에 도시된 바와 같이 매니저(200)와의 통신을 통해 점검 리스트의 업데이트 및 결과를 전송하는 프론트 앤드 엔진(Front-end Engine; FE)(115), 검사목록 데이터베이스(DB)(113)를 참조하여 점검을 수행하는 백 앤드 엔진(Back-end Engine; BE)(111), 에이전트(11)의 운영과 관련하여 매니저(200)의 주소 및 통신포트 지정, 검사주기의 설정, 로컬에서의 점검결과를 확인하는 에이전트 관리모듈(119)로 구성된다.
도 2는 취약성 분석 에이전트의 상세 구성도로서, 각 구성요소의 역할을 보다 상세히 설명하면 다음과 같다.
- 백 앤드 엔진(111) : 스캐닝을 통해 검사목록 데이터베이스(113)를 참조하여 취약성 점검엔진(112)이 취약점을 조사한다.
- 프론트 앤드 엔진(115) : 업데이트 엔진(116)이 점검 리스트를 업데이트시키고, 결과 전송엔진(117)이 검사결과를 매니저(200)에게 전송한다. 이러한 매니저(200)와의 통신은 보안 프로토콜 인터페이스(118)를 통해 이루어진다.
- 에이전트 관리모듈(119) : 에이전트 운영에 관한 매니저의 주소 및 통신포트의 지정, 검사주기의 설정, 로컬에서의 점검결과를 확인하며, 해당 사이트 관리자에 의해 운영된다.
- 검사목록 데이터베이스(113) : 매니저(200)의 취약성 데이터베이스(23)와 같이 최신 검사목록을 보관한다.
- 점검결과 데이터베이스(114) : 에이전트(11)의 점검결과를 보관한다.
도 1과 같이 구성된 취약성 분석 에이전트는 실제 점검대상이 되는 호스트 및 서브넷에 대한 취약성을 점검하게 되며, 에이전트내의 취약성을 점검하게 되는 취약성 점검엔진 및 취약성 검사를 위한 검사목록을 스크립트로 제공하여 검사목록의 추가시 점검엔진이 변경되지 않도록 구성된다. 취약성 분석 에이전트(11)의 핵심이 되는 백 앤드 엔진(111)에서는 취약성 분석 매니저(200)의 취약성 진단 스크립트를 파싱하고, 스크립트 라이브러리를 통해 직접 코드가 수행될 수 있어 취약성 진단목록의 추가시 바이너리로 제공되는 취약성 점검엔진의 변경이 필요없게 된다. 또한, 스크립트내에 취약성에 대한 설명, 제거 방법 및 관련 링크정보를 제공함으로써 검사결과 메타파일(Metafile)을 참조하여 로컬 관리자는 취약성에 대한 간략한 정보를 확인할 수 있게 된다.
취약성 분석 매니저(200)에서는 관리도구를 제공함으로써 점검 대상 호스트/네트워크, 점검 주기 및 에이전트 동작에 대한 선택사항을 설정할 수 있게 되며, 점검결과에 대해 메타파일 뷰어를 통해 취약성 점검결과를 확인할 수 있다.
그러면 취약성 분석 에이전트(11)가 내부망에 대한 취약성 분석을 수행하는 과정을 도 4를 통해 설명하면 다음과 같다.
내부 네트워크(14)의 취약성 점검은 로컬 관리자가 에이전트 관리도구(110)를 통해 진단을 요청함으로써 수행된다. 진단수행 요청에 대해 에이전트(11)의 점검엔진(112)은 보안 프로토콜(300)을 통해 매니저(200) 시스템과 암호화 채널을 구성하고, 매니저(200)에 새로운 취약성 점검 스크립트를 요청하여 스크립트를 업데이트한 후 내부 네트워크(14)에 대한 취약성 점검을 수행한다. 진단결과는 메타파일(120)에 저장되고, 관리자는 관리도구(110)를 통해 결과를 확인하게 된다. 만약, 관리자가 매니저(200)에게 상세 분석을 요청하는 경우 암호화 채널을 통해 매니저(200)에게 메타파일을 전송하고, 매니저는 취약성 데이터베이스(23) 및 결과 리포트 감사 데이터베이스(24)를 통해 점검결과를 분석하여 결과 리포트 감사 데이터베이스(24)에 저장한다. 로컬 관리자는 매니저(200)의 웹서버(33)를 통해 진단결과를 조회할 수 있다.
도 4는 내부 네트워크 진단 절차를 보다 상세하게 설명하기 위한 블록도이다.
제 1 단계 : 내부 네트워크 진단 에이전트(11)는 관리자의 진단 명령 또는 관리자가 설정한 주기에 따라 진단을 시작한다.
제 2 단계 : 점검엔진(112)은 매니저(200)와 에이전트(11) 간의 보안 프로토콜(300)을 통해 암호화 채널을 만들어 에이전트(11)와 매니저(200) 간에 전달되는 모든 데이터에 대해 기밀성 및 무결성 서비스를 받게 된다. 이때, 모든 접속은 에이전트(11)로부터 만들어지며 매니저(200)에서 에이전트(11)로의 접속은 만들 수 없다.
제 3 단계 : 점검엔진(112)은 암호화 채널을 통해 매니저(200)에게 새로운 취약성 진단 스크립트로 갱신하기 위해 업데이트 요청을 수행한다.
제 4 단계 : 매니저(200)에서는 스크립트 업데이트 요청에 대해 새로운 스크립트가 있는 경우 취약성 데이터베이스(23)에 저장된 새로운 스크립트를 내부진단 중계엔진(27)으로 전달한다.
제 5 단계 : 중계엔진(27)은 새로운 스크립트를 에이전트(11)에 전달한다.
제 6 단계 : 취약성 점검엔진(112)에서는 스크립트 갱신이 완료된 후 로컬 관리자에 의해 지정된 네트워크 또는 호스트에 대해 취약성 진단을 수행한다.
제 7 단계 : 취약성 점검엔진(112)은 점검결과를 메타파일(120)로 저장한다.
제 8 단계 : 관리자는 메타파일 뷰어(121)를 통해 점검결과를 확인할 수 있다.
제 9 단계 : 만약, 관리자가 점검결과에 대해 상세분석을 원하는 경우 관리모듈(119)을 통해 상세분석을 요청한다.
제 10 단계 : 에이전트(11)는 상세분석 명령에 대해 점검결과를 매니저(200)의 내부진단 중계엔진(27)으로 전달한다.
제 11 단계 : 매니저(200)는 점검결과 메타파일(120)을 전달받고 감사 및 분석엔진(22)에서 취약성 데이터베이스(23)를 참조하여 분석을 수행한다.
제 12 단계 : 분석엔진(22)에 의해 분석이 종료되면 결과는 결과 리포트 데이터베이스(24)에 저장된다.
제 13 단계 : 진단 대상 네트워크(100)의 로컬 관리자가 상세 분석된 리포트를 조회하기 위해서는 매니저(200)의 웹서버(33)를 통해 결과 리포트 데이터베이스(24)에 저장된 결과를 조회할 수 있다. 분석결과는 SSL(Secure Sockets Layer)을 통해 보호되며, 관리자 인증이 완료된 후 조회가 가능하다. 관리자의 등록은 외부 네트워크 진단절차에서와 같이 오프라인으로 신원이 확인된 후 매니저 관리자에 의해 등록된다.
취약성 분석 매니저(200)는 도 3에 도시된 바와 같이 에이전트(11)와의 통신 을 통해 취약성 목록 업데이트 요청에 따라 취약성 데이터베이스(23)에서 최신 목록을 가져와 전송하고, 에이전트(11)의 점검결과를 받아들이며 프론트 앤드 엔진(26)의 외부 네트워크 진단 엔진(31)을 통해 외부 네트워크 진단을 수행하는 프론트 앤드 엔진(Front-end Engine; FE)(26), 감사 및 분석 엔진(22)을 통해 취약성 데이터베이스(23)와 에이전트(11)로부터 전달된 결과에 대해 상세정보를 추가하여 결과 리포트 감사 데이터베이스(24)에 저장하는 백 앤드 엔진(Back-end Engine; BE)(21), 그리고 비교결과(Differential Report)를 요청받는 경우 결과 리포트 감사 데이터베이스(24)의 이전 세션결과와 비교를 통해 차이점을 비교하는 매니저 관리모듈(32)로 구성된다.
도 3은 취약성 분석 매니저의 상세 구성도로서, 각 구성요소의 역할을 보다 상세히 설명하면 다음과 같다.
- 프론트 앤드 엔진(26) : 취약성 목록 업데이트 엔진(28)은 취약성 목록 업데이트 요청에 대해 취약성 데이터베이스(23)로부터 최신 목록을 받아 에이전트(11)로 전송하고, 결과 수신 엔진(29)은 에이전트(11)로부터 점검결과를 받아들인다. 이러한 에이전트(11)와의 통신은 보안 프로토콜 인터페이스(30)를 통해 이루어진다.
- 백 앤드 엔진(21) : 감사 및 분석 엔진(22)을 통해 취약성 데이터베이스(23)와 에이전트(11)로부터 전달된 점검결과에 상세정보를 추가하여 결과 리포트 감사 데이터베이스(24)에 저장한다.
- 외부 네트워크 진단 엔진(31) : 매니저(200)에서 외부 네트워크를 점검하는 경우 동작한다.
- 취약성 데이터베이스(23) : 취약성 검사목록, 취약성 상세내용, 취약점 제거 기술 등이 저장된다.
- 결과 리포트 감사 데이터베이스(24) : 분석된 취약점 결과 저장 및 지난 세션과의 비교결과를 생성하여 저장한다.
- 매니저 관리모듈(32) : 매니저의 설정정보를 관리한다.
도 3과 같이 구성된 취약성 분석 매니저(200)에서는 에이전트(11)의 점검결과를 전달받아 탐지된 취약성에 대한 상세정보 및 이전의 검사결과와 비교하여 취약성 검사결과에 대한 감사를 수행하게 된다. 프론트 앤드 엔진(26)에서는 에이전트(11)와의 보안 프로토콜(300)을 통해 취약성 점검 목록의 업데이트 및 에이전트의 검사결과인 메타파일(25)을 전달받는 역할을 수행하게 된다. 백 앤드 엔진(21)에서는 에이전트(11)로부터 전달된 메타파일의 취약성 ID를 이용하여 취약성 데이터베이스에 정의된 해당 취약성에 대한 상세정보를 추출하여 분석한다. 감사 및 분석 엔진(22)에서는 감사 데이터베이스(24)에서 해당 에이전트에서 수행된 이전 결과와 비교를 통해 최종 결과를 발생하고, 이를 다시 감사 데이터베이스(24)에 저장한다. 매니저(200)에서는 에이전트(11)에 대한 분석결과가 저장된 감사 데이터베이스(24)를 통해 리포트 생성기를 통해 HTML, RTF, WORD, Excel 형식으로 최종분석 결과를 생성할 수 있으며, 스크립트 에디터에서는 취약성 데이터베이스(23)의 각 항목에 대한 스크립트 작성을 손쉽게 작성할 수 있도록 하며, 생성된 스크립트는 취약성 데이터베이스(23)에 생성정보를 업데이트하고 스크립트 목록에 추가하게 된다. 또한, 매니저 관리모듈(32)은 매니저(200)의 설정정보를 관리한다.
매니저(200)의 감사 및 분석 엔진(22)에서는 에이전트(11)로부터 전달된 메타파일(25)과 취약성 데이터베이스(23)를 통해 점검시 발견된 취약성의 수를 포함한 점검요약 정보, 취약성의 위험도에 따른 호스트 정보, 취약성 점검 스크립트 카테고리별 호스트 정보, 운영체제별 호스트 정보를 생성하며, 각 호스트에 대한 취약성 정보는 취약성 데이터베이스(23)의 상세 내용을 바탕으로 생성된다. 또한, 감사 및 분석 엔진(22)에서 생성된 각 항에 대한 비교 분석을 수행함으로써 진단대상 네트워크(100)의 취약성 제거 정도를 파악할 수 있도록 한다.
감사 및 분석 엔진(22)은 각 점검 대상 네트워크 ID인 A, B, C... 에 따라 각 하부에 예를들어, C-200010101-1(네트워크 ID-날짜-일련번호)로 분류하여 각 점검 세션별 점검요약정보, 위험도별 호스트정보, 카테고리별 호스트 정보, 운영체제별 호스트 정보, 호스트별 취약성 점검 정보를 생성하도록 한다. 감사 및 분석 엔진(22)에서는 일련번호로 구분되는 각 세션에 대해 최근의 세션 정보의 각 항에 대해 비교 분석할 수 있도록 한다.
매니저(200)가 DMZ(13)에 대한 취약성을 분석하는 절차에 대해 설명하면 다음과 같다.
외부 네트워크의 취약성 점검은 대상 네트워크 관리자(101)에 의해 수행되도록 구성되며, 대상 네트워크 관리자(101)가 매니저(200)의 웹 인터페이스(202)를 통해 점검을 요청하면 매니저(200)의 외부 네트워크 진단 엔진(31)에서는 점검 대상 네트워크를 전달받아 대상 네트워크 점검을 수행하고, 점검결과에 대해서는 웹 인터페이스(202)를 통해 관리자(201)가 조회할 수 있도록 구성된다.
외부 네트워크 취약성 점검은 도 5와 같은 절차를 통해 수행된다.
제 1 단계 : 점검 대상 네트워크 관리자(101)는 취약성 분석 매니저(200)와의 오프라인 연락(전화, 팩스)을 통해 신원을 확인받고, 취약성 분석 매니저(200)는 외부 진단 웹에 사용자를 등록한다.
제 2 단계 : 사용자 등록이 완료된 후 대상 네트워크 관리자(101)는 웹 인터페이스(202)를 통해 점검 대상 호스트를 등록하고 점검을 요청한다. 이때, 등록 및 점검 정보는 SSL을 통해 암호화된다.
제 3 단계 : 매니저(200)에서는 외부 네트워크 진단 엔진(31)으로 대상 네트워크를 전달하고, 외부 네트워크 진단 엔진(31)에서는 네트워크 취약성 점검 스크립트를 통해 대상 네트워크를 진단하고, 매니저(200)의 분석 엔진(22)을 통해 분석된 결과를 결과 리포트 감사 데이터베이스(24)에 저장한다.
제 4 단계 : 대상 네트워크 관리자(101)는 점검결과 조회메뉴를 통해 결과 리포트 감사 데이터베이스(24)에 저장된 진단결과를 확인하게 된다.
보안 프로토콜(300)은 에이전트(11)와 매니저(200) 간에 취약성 목록 및 점검결과 전송시 데이터의 노출 및 변조를 방지하기 위해 전송되는 데이터에 대한 비밀성, 무결성 기능을 제공하고, 에이전트를 인증하기 위한 클라이언트 인증기능을 제공한다.
이상에서 살펴본 바와 같이, 본 발명에 따르면 취약성 분석 에이전트와 취약성 분석 매니저로 구성되어 분산된 네트워크 환경에서 중앙 집중식으로 취약성 탐지 결과를 분석하고 취약성 데이터베이스와 취약성 탐지코드를 관리하여 취약성 탐지 결과를 효율적으로 분석할 수 있다.
단일 호스트에 대한 취약성을 분석하는 데 사용된 종래의 취약성 분석 시스템과는 달리 내부망과 DMZ를 분리하여 네트워크의 취약성을 탐지하기 때문에 전체적인 네트워크의 취약성을 분석할 수 있으며, 중앙 집중식으로 취약성과 취약성 탐지코드를 관리하기 때문에 기존의 시스템에 비해 유지보수도 용이하다. 또한, 중앙 집중식으로 호스트별, 네트워크별 취약성 탐지결과을 분석함으로써 시간의 흐름에 따른 차등 분석을 자동으로 수행하여 비교결과를 생성할 수 있다.
도 1은 본 발명의 취약성 분석 시스템이 적용된 분산된 네트워크 환경의 개략도.
도 2는 도 1에 도시된 에이전트의 상세 구성도.
도 3은 도 1에 도시된 매니저의 상세 구성도.
도 4는 본 발명에 따른 내부 네트워크 진단 절차를 설명하기 위한 블록도.
도 5는 본 발명에 따른 외부 네트워크 진단 절차를 설명하기 위한 블록도.
<도면의 주요 부분에 대한 부호의 설명>
11: 에이전트 12: 침입차단 시스템
13: DMZ 14: 내부 네트워크
21 및 111: 백 앤드 엔진 22: 감사 및 분석 엔진
23: 취약성 데이터베이스 24: 결과 리포트 감사 데이터베이스
25: 메타파일 26 및 115: 프론트 앤드 엔진
27: 내부진단 중계엔진 28: 업데이트 엔진
29: 결과 수신 엔진 30: 보안 프로토콜 인터페이스
31: 외부 네트워크 진단 엔진 32: 매니저 관리모듈
33: 외부 웹서버 100: 점검대상 네트워크
101: 대상 네트워크 관리자 110: 관리도구
112: 취약성 점검 엔진 113: 검사목록 데이터베이스
114: 점검결과 데이터베이스 116: 업데이트 엔진
117: 결과 전송 엔진 118: 보안 프로토콜 인터페이스
119: 에이전트 관리모듈 120: 검사결과 메타파일
121: 메타파일 뷰어 200: 매니저
201: 관리자 202: 웹 인터페이스
300: 보안 프로토콜

Claims (8)

  1. 내부 네트워크에 위치되며, 로컬 관리자의 명령 또는 설정된 주기에 따라 최신 취약성 검사목록을 참조하여 내부망의 취약성을 점검하는 에이전트,
    상기 에이전트로 상기 최신 취약성 검사목록을 제공하며, 상기 에이전트로부터 취약성 점검결과를 받아 분석하고, 분석된 결과를 저장하며, 상기 취약성 점검결과에 대한 감사를 수행하는 매니저,
    상기 매니저와 상기 에이전트 간의 통신을 위해 암호화 채널을 제공하는 보안 프로토콜을 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  2. 제 1 항에 있어서, 상기 에이전트는 상기 매니저로부터 제공되는 상기 최신 취약성 검사목록을 보관하는 검사목록 데이터베이스,
    상기 로컬 관리자의 명령 또는 설정된 주기에 따라 상기 검사목록 데이터베이스를 참조하여 상기 내부망의 취약성을 점검하는 백 앤드 엔진,
    상기 취약성 점검결과를 보관하는 점검결과 데이터베이스,
    업데이트 엔진이 상기 취약성 검사목록을 업데이트시키고, 결과 전송 엔진이 상기 취약성 점검결과를 보안 프로토콜 인터페이스를 통해 상기 매니저에게 전송하는 프론트 앤드 엔진을 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  3. 제 2 항에 있어서, 상기 로컬 관리자에 의해 운영되며, 상기 에이전트 운영에 관한 정보를 관리하는 에이전트 관리모듈을 더 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  4. 제 2 항에 있어서, 상기 에이전트 운영에 관한 정보는 매니저의 주소 및 통신포트의 지정, 검사주기의 설정, 로컬에서의 점검결과를 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  5. 제 1 항에 있어서, 상기 매니저는 취약성 검사목록, 상세내용, 제거기술을 저장하는 취약성 데이터베이스,
    상기 분석된 결과 및 지난 세션과의 비교결과를 생성하여 저장하는 결과 리포트 감사 데이터베이스,
    상기 에이전트의 요청에 따라 취약성 목록 업데이트 엔진이 상기 취약성 데이터베이스로부터 상기 최신 취약성 검사목록을 받아 보안 프로토콜 인터페이스를 통해 상기 에이전트로 전송하고, 결과 수신 엔진이 상기 보안 프로토콜 인터페이스를 통해 상기 에이전트로부터 상기 취약성 점검결과를 받아들이는 프론트 앤드 엔진,
    감사 및 분석 엔진이 상기 취약성 데이터베이스와 상기 에이전트로부터 받은 상기 취약성 검사목록에 상세정보를 추가하여 상기 결과 리포트 감사 데이터베이스에 저장하는 백 앤드 엔진,
    외부 네트워크를 점검하기 위한 외부 네트워크 진단 엔진을 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  6. 제 5 항에 있어서, 상기 매니저의 운영 정보를 관리하는 매니저 관리모듈을 더 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 시스템.
  7. 로컬 관리자의 명령 또는 설정된 주기에 따라 내부 네트워크에 위치된 에이전트가 내부망의 취약성 점검을 시작하는 단계,
    상기 에이전트가 매니저와의 통신을 위해 암호화 채널을 만드는 단계,
    상기 에이전트가 취약성 검사목록을 갱신하기 위해 상기 암호화 채널을 통해 상기 매니저에게 상기 취약성 검사목록의 업데이트를 요청하는 단계,
    상기 업데이트 요청에 대해 새로운 취약성 검사목록이 있는 경우 상기 매니저가 최신 취약성 검사목록을 상기 암호화 채널을 통해 상기 에이전트로 전달하는 단계,
    상기 에이전트가 상기 취약성 검사목록의 갱신을 완료하고 상기 최신 취약성 검사목록을 참조하여 상기 내부망의 취약성을 점검한 후 점검결과를 메타파일로 저장하는 단계,
    상기 로컬 관리자가 메타파일 뷰어를 통해 상기 점검결과를 확인하는 단계,
    상기 에이전트가 상기 점검결과를 상기 암호화 채널을 통해 상기 매니저에게 전달하는 단계,
    상기 매니저가 취약성 데이터베이스를 참조하여 상기 점검결과를 분석한 후 분석결과를 데이터베이스에 저장하는 단계,
    상기 로컬 관리자가 상기 매니저의 웹서버를 통해 상기 데이터베이스에 저장된 분석결과를 조회하는 단계를 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 방법.
  8. 내부 네트워크의 로컬 관리자가 외부 네트워크의 취약성을 점검하기 위해 매니저에게 신원을 확인받는 단계,
    상기 매니저가 웹 인터페이스를 통해 사용자를 등록하는 단계,
    상기 로컬 관리자가 상기 웹 인터페이스를 통해 점검 대상이 되는 외부 네트워크의 호스트를 등록하고 취약성 점검을 요청하는 단계,
    상기 매니저가 외부 네트워크 진단 엔진으로 상기 외부 네트워크를 지정하는 단계,
    상기 외부 네트워크 진단 엔진이 취약성 검사목록을 참조하여 상기 외부 네트워크의 취약성을 점검한 후 점검결과를 분석하고, 분석된 결과를 데이터베이스에 저장하는 단계,
    상기 로컬 관리자가 점검결과 조회메뉴를 통해 상기 데이터베이스에 저장된 점검결과를 확인하는 단계를 포함하는 것을 특징으로 하는 네트워크의 취약성 분석 방법.
KR10-2002-0026405A 2002-05-14 2002-05-14 네트워크의 취약성 분석 시스템 및 방법 KR100474155B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0026405A KR100474155B1 (ko) 2002-05-14 2002-05-14 네트워크의 취약성 분석 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0026405A KR100474155B1 (ko) 2002-05-14 2002-05-14 네트워크의 취약성 분석 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20030088300A KR20030088300A (ko) 2003-11-19
KR100474155B1 true KR100474155B1 (ko) 2005-03-08

Family

ID=32382679

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0026405A KR100474155B1 (ko) 2002-05-14 2002-05-14 네트워크의 취약성 분석 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR100474155B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101022167B1 (ko) 2004-01-19 2011-03-17 주식회사 케이티 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
KR102160950B1 (ko) 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
JP2001344206A (ja) * 2000-05-31 2001-12-14 Mitsubishi Electric Corp セキュリティ診断システムおよび方法
KR100332891B1 (ko) * 1999-04-07 2002-04-17 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
KR20030064498A (ko) * 2002-01-28 2003-08-02 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템
KR100404321B1 (ko) * 2000-12-27 2003-11-01 한국전자통신연구원 인터넷 호스트 시스템의 보안 평가 시스템 및 방법
KR100412238B1 (ko) * 2001-12-27 2003-12-24 한국전자통신연구원 아이피섹 통신을 수행하는 인터넷 보안 플랫폼의 관리시스템 및 그 관리 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100332891B1 (ko) * 1999-04-07 2002-04-17 이종성 분산 침입 탐지 에이전트를 기반으로 한 지능형 침입탐지시스템
JP2001344206A (ja) * 2000-05-31 2001-12-14 Mitsubishi Electric Corp セキュリティ診断システムおよび方法
KR100404321B1 (ko) * 2000-12-27 2003-11-01 한국전자통신연구원 인터넷 호스트 시스템의 보안 평가 시스템 및 방법
KR20010085056A (ko) * 2001-07-27 2001-09-07 김상욱 미행 메커니즘 기반의 전산망 보안 관리 장치 및 방법
KR100412238B1 (ko) * 2001-12-27 2003-12-24 한국전자통신연구원 아이피섹 통신을 수행하는 인터넷 보안 플랫폼의 관리시스템 및 그 관리 방법
KR20030064498A (ko) * 2002-01-28 2003-08-02 김미희주 객체 기반 통합 관제 및 관리 기능을 갖는 범용 정보보호시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101022167B1 (ko) 2004-01-19 2011-03-17 주식회사 케이티 네트워크 자산의 취약성을 고려한 침입탐지시스템의로그최적화 장치
KR102160950B1 (ko) 2020-03-30 2020-10-05 주식회사 이글루시큐리티 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20030088300A (ko) 2003-11-19

Similar Documents

Publication Publication Date Title
CN101176331B (zh) 计算机网络入侵检测系统和方法
CN111600856B (zh) 数据中心运维的安全系统
US6336141B1 (en) Method of collectively managing dispersive log, network system and relay computer for use in the same
US20010056550A1 (en) Protective device for internal resource protection in network and method for operating the same
US7484097B2 (en) Method and system for communicating data to and from network security devices
US20090157574A1 (en) Method and apparatus for analyzing web server log by intrusion detection system
CN100399750C (zh) 便于在网络上识别计算机的系统与方法
US20030110392A1 (en) Detecting intrusions
US20110016528A1 (en) Method and Device for Intrusion Detection
US20080262863A1 (en) Integrated, Rules-Based Security Compliance And Gateway System
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN111510463B (zh) 异常行为识别系统
US7360250B2 (en) Illegal access data handling apparatus and method for handling illegal access data
JP2003108521A (ja) 脆弱性評価プログラム、方法及びシステム
CN113868659B (zh) 一种漏洞检测方法及系统
US20070162596A1 (en) Server monitor program, server monitor device, and server monitor method
CN112838951B (zh) 一种终端设备的运维方法、装置、系统及存储介质
KR20090013930A (ko) 기업 it 보안 업무 관리 시스템 및 방법
CN113868669A (zh) 一种漏洞检测方法及系统
KR20020075319A (ko) 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
KR100474155B1 (ko) 네트워크의 취약성 분석 시스템 및 방법
JP3495030B2 (ja) 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム
CN109587134B (zh) 接口总线的安全认证的方法、装置、设备和介质
JP2004234401A (ja) セキュリティ診断情報収集システム及びセキュリティ診断システム
CN113194088B (zh) 访问拦截方法、装置、日志服务器和计算机可读存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20141224

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170221

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20200224

Year of fee payment: 16